未来木马发展的方向?
1、传统的TCP端对端连接会被抛弃,未来木马要么就采用非TCP/UDP的IP族数据包,它们十分隐蔽,如果不对数据包详细分析,很难发现木马入侵;要么就采用寄生Tcp端口,这样木马传输的数据包和正常的数据包很难区分开来。
2、在传播方式上,未来木马会和病毒一样,采用交叉式迅速大规模扩散,并且运行方式越来越隐蔽,可能通过浏览一个html页面即可把木马植入你的主机。
3、未来木马将更注重底层的通讯编程,如针对网卡和Modem的通讯编程,这样可以逃过防火墙的监视和过滤。
如何发现侦探木马?
对于一些常见的木马,如SUB7、,BO2000,冰河等等,它们都是采用打开TCP端口监听和写入注册表启动等方式,使用Cllean之类的软件可以检测到这些木马,在我们快要推出的最新版天网个人防火墙也将提供强大的木马检测和清除功能。这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马入侵,这也可以通过手工来探测。如果你发现自己的硬盘老没原由的读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面。这时最简单的方法就是使用netstat命令查看:
Proto Local Address Foreign Address State
TCP dddd-gam68abjr9:1662 202.106.184.200:http ESTABLISHE
TCP dddd-gam68abjr9:1694 TCE-E-7-182-210.bta.net.cn:http
TCP dddd-gam68abjr9:1702 202.106.184.200:http ESTABLISHE
TCP dddd-gam68abjr9:1823 202.106.184.158:http CLOSE_WAIT
TCP dddd-gam68abjr9:1824 202.106.184.158:http CLOSE_WAIT
从左到右依次是连接类型、本地连接地址端口、远程连接地址端口、连接状态,你可以通过这个命令发现所有网络连接,如果这是有攻击者通过木马连接,你可以通过这些信息发现异状。通过端口扫描的方法也可以发现一些弱智的木马,特别是一些早期的木马,它们捆绑的端口不能更改的,通过扫描这些固定的端口也可以发现木马是否被植入。你还可以通过手工检测上文所述的和木马启动的系统文件和注册表的方式把那些不明的自启动运行文件清除掉。如果在发生系统异常后,最好将系统断线再诊断木马。
如何清除掉木马?
目前已经有一些专门的清除木马的软件,我们在新推出天网防火墙里面也会捆绑强大的木马清除功能,清除一般木马的机制原理主要是:
1、检测木马。
2、找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置。
3、删除木马文件,并且删除注册表或系统启动文件中关于木马的信息。
但对于一些十分狡滑的木马,这些措施是无法把它们找出来的,我们现在检测木马的手段无非是通过网络连接和查看系统进程,事实上,一些技术高明的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。
如何防范木马?
自然,如果你不打开任何木马文件,就不会有木马的入侵,但这种保证是不可靠的,因为木马植入方式更为先进,甚至你在接到一封电子邮件,只要简单的浏览一下即可被植入木马,而且你下载各种软件时,你根本不知道这里面是否掺了别的东西,何况,攻击者还可以利用你系统的漏洞来植入木马。
防火墙是抵挡木马入侵的最好途径,绝大多数木马都是必须采用直接通讯的方式进行连接,虽然它们可以采用一定的方式隐藏这种连结,如只有在收到攻击者特殊数据包的时候才激活木马打开通讯端口,连接完毕业,木马则马上进入休眠状态。
防火墙这种阻塞方式不仅适用于TCP数据包,还能够阻止UDP、ICMP等其它IP数据包的通讯控制。
防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。
尽管如此,对一些技术高明的木马,防火墙有时也是无能为力,如寄生在Http端口上的木马。还有一种是与木马正常控制程序相反的木马,它是通过木马向外面的端口发送数据,比如它发一个数据到一个主机的80端口,任何防火墙都不可能阻塞这种数据请求,要不然整个系统就不用上网浏览网页了。在天网防火墙里面,还有专门针对各种木马攻击的防御规则,防火墙可以确保你免受木马攻击。